SymantecのNortonにもrootkit

Symantecが自社製品にrootkit的機能を搭載していたことを認め、修正した。「ますます多くの商業ベンダーがrootkitを使っている」とセキュリティ専門家は警鐘を鳴らす。

[Ryan Naraine，eWEEK]

　米Symantecは「Norton SystemWorks」において、コンピュータに不正なファイルを隠す場所を攻撃者に与えかねないrootkitタイプの機能を使っていたことを明らかにした。

　この機能は、ユーザーが誤ってファイルを削除するのを防ぐために意図的にWindows APIからあるディレクトリを隠すものだったが、セキュリティ専門家からの忠告を受けて、リスクを取り除くためにSystemWorksのアップデートをリリースしたと同社は認めた。

　rootkitタイプの技術を使ってコンピュータ上でファイルを隠していたことが判明して騒ぎになった商用ソフトベンダーは、Symantecで2社目だ。rootkitは、リモートユーザーがセキュリティソフトに検出されずに脆弱なシステムにアクセスできるようにするプログラム。

　レコード会社のSONY BMGは、デジタル権利管理（DRM）ソフトを隠すためにrootkitを使っていたことをrootkit検出ソフトに暴かれ、激しい批判を受けた（関連記事参照）。ハッカーがトロイの木馬を隠すために同社のDRM rootkitを利用したことを受けて、同社はこの技術の利用を中止し、これを組み込んだCDをリコールした。

　Symantecの広報担当者は、eWEEKに送った発表文の中でSONY BMGの騒動を引き合いに出しつつも、コンシューマーのリスクは低いとした。「今の攻撃者が利用している技術を考えて、Symantecは（問題の）ディレクトリを隠すことの価値を見直した。攻撃者がこれを攻撃ベクトルとして利用する可能性は極めて低いが、Symantecのアップデートはこのディレクトリを表示することでコンピュータをさらに保護する」

　この担当者の説明によると、問題の「Norton Protected Recycle Bin」機能は、Windows APIから隠される「NProtect」というディレクトリとともに、Norton SystemWorksに組み込まれている。NProtectディレクトリのファイルは隠されているため、定期ウイルススキャンや手動ウイルススキャンで検出されない可能性がある。

　「これは、攻撃者がコンピュータ上に不正なファイルを隠す場所になる恐れがある」とSymantecは認め、アップデート版では、これまでWindowsインタフェース上で隠されていたNProtectディレクトリが表示されると述べている。

　この脆弱性の危険性は非常に低いものの、SymantecはSystemWorksユーザーに、保護を強化するためにすぐにアップデートするよう「強く」勧めている。「当社が把握している限りでは、NProtectディレクトリに不正なコードを隠そうとする試みはこれまでなかった」と同社広報担当者は付け加えた。

　SONY BMGのrootkitを指摘したWindows専門家マーク・ルシノビッチ氏と、フィンランドのウイルス対策企業F-Secureの研究者が、SystemWorksの問題を発見したとされている。

　rootkit対策ユーティリティ「RootkitRevealer」の開発者であるルシノビッチ氏は、商業ベンダーがrootkitタイプの機能を利用するのは「非常に気掛かりなこと」だとしている。

　「問題が起きる恐れがある場所に何かを隠すというのは非常にまずい考えだ。商業ベンダーにそうしたやり方がますます見られるようになっている」と同氏はeWEEKの取材に応えて語った。

　「rootkitタイプの技術を使うと、たとえその目的が良いことであっても、ユーザーがマシンを完全にはコントロールできなくなる。持ち主がコントロールできなければ、そのシステムのセキュリティと健康を管理するのは不可能だ」（同氏）

　ルシノビッチ氏は、Symantecは隠しディレクトリがユーザーにリスクをもたらすという警告を「非常に素直に聞き入れた」と語る。「SONY BMGの場合は、rootkitは同社のために組み込まれていた。Symantecの場合、同社は本当に（問題の機能が）コンシューマーのためになると信じていた。わたしにはそのメリットが分からないが、同社には善意があったと思う。同社がこれを変更したのは、正しい対応だった」

　ルシノビッチ氏はSysinternals.comで商業ベンダーがrootkitを使っている証拠をもっと公開していく予定だ。同氏は、もう1つ大きな問題を指摘している。「別々のベンダーがWindowsの動作を変えた場合に、それらが互いに干渉し合うようになる。マシン上に2〜3個のrootkitがあると、Windowsの動作が大きく変えられる可能性がある。これがもう1つの大きな問題だ」

　F-Secureのウイルス対策研究ディレクター、ミッコ・ヒッポネン氏は、同社の「BlackLight Rootkit Elimination Technology」も、Windows FindFirst/FindNext APIから隠されたNProtectディレクトリを検出したとしている。

　「2005年3月にBlackLightの最初のβ版をリリースしたときにこのことに気付いた。それから社内の研究室でテストを行い、Symantecでこの機能を確認した。これは大きな問題ではないが、同社がこれを修正したことをうれしく思う」とヒッポネン氏は取材の中で述べた。

　同氏は、「ますます多くの合法的な商業ベンダーがクローキング技術を使っている」というルシノビッチ氏の主張を認め、たとえ不正なrootkitでなくても、これは「危険なトレンド」だと警鐘を鳴らす。

　「この領域はややグレーだ。十数社の商業ベンダーがフォルダを隠すのを目にしてきた。一部は、ペアレンタルコントロールなど、実際に意図したユーザーがフォルダを隠すアプリケーションだ。だがそれでも、悪意を持った誰かがこの隠し場所を利用する危険性を無視するべきでない」（ヒッポネン氏）

　「これは大きなリスクだ。今のところは完全に理論上の問題だが、SONY BMGの一件で分かったように、悪党は数日で、rootkitにトロイの木馬を入れて、ウイルス対策ソフトを回避できることに気付いた」と同氏は語っている。

原文へのリンク